AI 보안 위협으로부터 비즈니스 파일을 보호하는 방법

AI는 이제 우리 곁에 있으며, 기업들은 이제 막 비즈니스 추진에 그 힘을 활용하는 방법을 알아내기 시작했습니다. 매일 기업들은 수많은 작업 흐름에 AI를 통합하기 위해 서두르고 있습니다. 문서 요약, 보고서 자동화, 예측 분석 생성, 챗봇을 통한 지원 제공 등에 사용되고 있습니다. 이러한 변화는 빠르게 일어나고 있으며 대기업과 중소기업 모두에게 새로운 기회를 열어주고 있지만, 동시에 기업의 귀중한 독점 데이터를 새로운 위험에 노출시킬 수도 있습니다.

기업이 기밀 정보에 AI가 접근할 수 있게 할 때, 이 정보가 학습 데이터로 대규모 언어 모델(LLM)에 의해 재사용되거나 인덱싱될 수 있는지 항상 명확한 것은 아닙니다. 또한 AI 도구에 의해 민감한 정보가 실수로 노출된 수많은 사례가 있습니다. 이는 단순한 개인정보 우려가 아닙니다. 어떤 기업이든 저장된 파일에 AI 도구를 사용하기 전에 고려해야 할 보안 위험입니다.

AI가 당신도 모르게 파일을 위험에 빠뜨리는 방법

AI는 기하급수적인 속도로 진화하고 확산되었습니다. 대부분의 사람은 ChatGPT나 Claude 같은 챗봇에 가장 익숙하지만, 빅테크는 콘텐츠를 수집, 인덱싱, 요약할 수 있는 생성형 AI 시스템을 스프레드시트, 문서, 이메일 서비스에 통합하고 있습니다. 이러한 통합은 강력한 기능을 가져오지만, 소수의 사람만이 알고 있는 중대한 위험을 초래합니다.

2025년 AI 보안 설문조사(새 창)에 따르면, Excel, Word, SharePoint와 같은 도구에 내장된 Microsoft Copilot은 상반기에만 조직당 거의 300만 개의 민감한 기록에 접근했습니다. 또한 조직은 민감한 비즈니스 정보가 노출될 수 있는 Copilot과의 상호 작용이 평균 3,000회 이상인 것으로 나타났습니다. 그리고 Google 연구에 따르면(새 창) 기술 산업 종사자의 90%가 코드를 작성하거나 수정하는 데 AI를 사용합니다. 이 수치가 부풀려졌다 하더라도 조직은 위협 모델에 AI 도구를 반영해야 합니다.

이것은 새로운 유형의 보안 위험입니다. 이 파일들은 외부적으로 공유되지 않았습니다. 사실 전혀 공유되지 않았을 수도 있습니다. 하지만 Copilot이 접근할 수 있는 파일에 저장되어 있었기 때문에 포함된 정보가 사용자가 모르는 사이에 수집되었을 수 있습니다.

이는 심각한 파급 효과를 가져올 수 있습니다. 스위스(새 창) 경찰(프랑스어 출처)과 미국 FBI(새 창)는 이미 수사의 일환으로 ChatGPT 로그를 사용하는 것으로 밝혀졌습니다. 빅테크 기업이 그 예라면, AI 기업들은 이미 그렇지 않다면 곧 미국 및 EU 정부로부터 수십만 건의 데이터 요청을 받게 될 것으로 예상할 수 있습니다.

AI 도구가 매일 사용하는 어플리케이션에 이렇게 깊이 내장되어 있으면 안전한 데이터 저장이 엄청나게 어렵습니다. 기업 드라이브에 저장된 파일은 검색 가능하고 요약 가능하며 궁극적으로 취약해져 접근, 권한, 감독이라는 전통적인 보안 개념을 모호하게 만듭니다.

Google Workspace 및 Gemini는 어떤가요?

이러한 위험은 Microsoft Copilot에만 국한되지 않습니다. Google Workspace도 AI 도구인 Gemini를 Drive, Sheets, Docs에 직접 통합하고 있습니다.

많은 기업이 Gemini가 통합된 Google Workspace를 강력한 기본값으로 볼 것입니다. Google 자체 사이트(새 창)에 따르면: “귀하의 데이터는 허가 없이 도메인 외부에서 생성형 AI 모델 훈련에 사용되거나 사람이 검토하지 않습니다.”

그러나 Google이 AI 시스템을 훈련하기 위해 정보를 가져가는 데 사용하는 규칙은 회색 지대를 만들고 의문을 제기하는 방식으로 설명되어 있습니다:

• 이제 Google은 거부(opt out)하지 않는 한 기본적으로 소비자 채팅과 파일 업로드를 사용하여 Gemini를 훈련합니다.
• Google Gemini(새 창)의 지원 페이지는 Gemini 앱과 공유된 정보가 사람에 의해 검토될 수 있으며 AI 훈련을 위한 데이터셋으로 사용될 수 있다고 경고합니다.
• Gemini 개인정보 설명에서 Google은 사용자에게(새 창) 기밀 정보를 공유하지 말라고 경고합니다.
• 기업 문서는 “허가 없이”와 같은 문구로 해석의 여지를 남깁니다.
• 보안 벤더들은 비즈니스 데이터가 훈련 입력이 될 수 있는 조건을 지적했는데, 특히 AI 기능이 파일 저장공간, 검색 및 작업 흐름 도구에 더 긴밀하게 통합됨에 따라 더욱 그렇습니다.

Gemini가 Drive, Docs, Sheets에 통합될 때 이러한 명확성 부족은 우려스럽습니다. 이는 단순히 파일을 잘못 공유하는 문제가 아니라 이러한 파일이 어떻게 실수로 AI 작업 흐름의 일부가 되는지에 대한 문제입니다. AI는 프롬프트나 출력을 어떻게 수집, 인덱싱, 분석 및 저장하며, 그러한 로그는 여전히 조직의 통제하에 있을까요?

Google Workspace와 같이 잘 관리되는 시스템이라도 비공개가 아니며 폐쇄형 소스입니다. 이러한 시스템은 많은 위험을 완화할 수 있지만, 매우 민감한 데이터를 보유한 기업의 경우 필요한 신뢰 수준이 여전히 너무 높을 수 있습니다.

비즈니스를 위한 개인 AI를 찾는 방법

AI 지원 시스템에 업로드하거나 공유하는 모든 파일은 공격 표면을 확장합니다. 서비스 및 요금제에 따라 클라우드 저장공간에 파일을 업로드하는 것만으로도 해당 파일이 AI 훈련에 노출될 수 있습니다. 이러한 업로드가 귀하가 알지 못하거나 통제할 수 없는 방식으로 보존, 인덱싱 또는 접근 가능하게 되면 귀하의 독점적 가치는 위험에 처합니다.

비즈니스 AI 도구를 선택하기 전에 해당 도구 또는 파일 저장 시스템이 중요한 데이터를 보존하거나 노출하지 않는다는 것을 보장할 수 있는지 물어봐야 합니다.

다음은 모든 비즈니스 AI 도구에 요구해야 할 두 가지 구체적인 사항입니다:

• 데이터 보존 없음(Zero‑data retention): AI 시스템은 명시적으로 요구되지 않는 한 비즈니스 세션 이외의 프롬프트, 응답 또는 파일 업로드를 기록하거나 저장해서는 안 되며, 그러한 로그는 비즈니스의 완전한 통제하에 있어야 합니다.
• 외부 훈련 없음: 비즈니스 데이터(저장된 파일 포함)는 비즈니스 도메인 외부의 다른 모델을 훈련하거나 테넌트 간에 공유하는 데 사용되어서는 안 됩니다.

지금 할 수 있는 일

올바른 도구를 선택하기 전에 상황을 평가하고 이미 민감한 데이터를 실수로 노출하고 있지 않은지 확인해야 합니다:

• AI 파일 저장 위험 감사 수행: AI 도구가 연결되는 모든 공유 드라이브, 팀 폴더 및 클라우드 저장공간을 식별한 다음 어떤 도구가 해당 파일을 수집하거나 인덱싱하는지 매핑하세요.
• AI로의 파일 수집에 대한 명확한 거버넌스 정책 정의: 승인된 AI 도구, 허용되는 파일 유형, 저장소 파일의 인덱싱이 꺼져 있는지 등을 지정하세요.
• 엄격한 제어가 포함된 개인 AI를 제공하는 벤더/솔루션 요구: 기본적으로 “로그 없음, 훈련 없음, 공유 없음”을 제공하는 AI 어시스턴트를 선택하세요.
• “섀도 AI”, 즉 보안 팀의 프레임워크 외부에서 AI를 사용하는 개별 팀원과 AI 도구로의 승인되지 않은 파일 업로드를 모니터링하고 제한하세요. 데이터 손실 방지, 신원 및 접근 관리 관행, 감사 로깅을 통해 시행하세요.
• 데이터 판매나 추출에 의존하지 않는 비즈니스 모델을 가진 벤더를 선택하세요. 이렇게 하면 그들의 인센티브가 항상 귀하의 데이터를 안전하게 유지하는 것과 일치하게 됩니다.

Proton은 위험 없이 AI의 생산성을 제공합니다

어떤 비즈니스도 자신도 모르게 민감한 정보를 넘겨주고 싶어 하지 않습니다. 그렇기 때문에 Proton for Business 도구는 정보에 접근할 수 있는 사람을 통제할 수 있는 강력한 암호화를 중심으로 구축되었습니다.

Proton Drive는 모든 파일에 종단 간 암호화를 사용하므로 귀하가 공유하지 않는 한 Proton을 포함한 그 누구도 파일에 접근할 수 없습니다. 이는 파일이 AI 훈련에 노출되거나 사용되는 것을 방지합니다. Proton Drive는 또한 비밀번호로 공유 링크를 보호하거나 한 번의 클릭으로 접근을 차단할 수 있는 기능을 제공하므로 통제권을 유지할 수 있습니다.

우리는 또한 반대가 아닌 오직 귀하만을 위해 작동하는 개인 AI 어시스턴트인 Lumo for Business를 구축했습니다. 로그가 유지되지 않고 귀하가 업로드하는 모든 채팅과 파일이 암호화되므로 Lumo는 대화를 기밀로 유지하고 데이터를 완전히 귀하의 통제하에 둡니다. 절대 공유, 판매 또는 도난당하지 않습니다.

Proton은 설계부터 개인정보 보호를 고려하여 모든 제품을 만듭니다. 기업은 가장 민감한 정보가 보호된다는 것을 알고 확신을 가지고 파일을 저장하고 AI를 사용할 수 있어야 합니다.

빅테크와 달리 Proton은 귀하의 데이터를 판매하여 수익을 창출하지 않습니다. 우리는 광고주가 아닌 커뮤니티의 지원만 받고 있으며, 개인정보 친화적인 유럽에 기반을 두고 있어 약속을 이행할 수 있는 법적 보호를 받습니다. 가장 중요한 것은 우리가 비영리 단체인 Proton Foundation의 소유라는 점이며, 이 재단의 유일한 사명은 개인정보 보호와 자유를 증진하는 것입니다.

Lumo for Business(새 창)를 사용하면 데이터가 오용될 위험 없이 고급 AI 어시스턴트의 이점을 누릴 수 있습니다.